Tratamiento de aguas, en el punto de mira del cibersabotaje
No solemos pararnos a pensar en la importancia que tienen las plantas de tratamiento de aguas. Desgraciadamente, los cibersaboteadores sí que lo hacen. Quizá recuerdes el ciberataque, el pasado mes de mayo, a la infraestructura portuaria de Bandar Abbas, un punto clave en la salida de crudo y procesados del petróleo del Golfo Pérsico al resto del mundo, a partir del Golfo de Omán y el Mar Arábigo. Poco después supimos que Israel estaría detrás de ese ataque, y que era una respuesta a un intento de sabotaje de dos redes rurales de distribución de agua en Israel.
En aquel momento, como ya te contamos, los operadores de las plantas de tratamiento de aguas reaccionaron rápidamente y frustraron el ataque antes de que sus autores lograran llevar a cabo alguna de las acciones que tenían a su alcance, desde paralizar los sistemas que controlan el flujo de agua y el tratamiento de aguas residuales hasta llevar a cabo modificaciones en el sistema que regula la adición de cloro y otros productos químicos para garantizar la potabilidad.
Las plantas e instalaciones de tratamiento de aguas son un objetivo muy sensible que, eso sí, por norma general, no se encuentra en la lista de prioridades de muchos ciberdelincuentes, pues es una actividad que no persigue el lucro económico, sino sabotear una infraestructura crítica. En pocas palabras, no hablamos de delincuencia más o menos común, sino de terrorismo y acciones de guerra no declarada, algo que desgraciadamente estamos acostumbrados a ver en Oriente Medio.
Sin embargo, que suelan tener lugar en una geografía concreta, no significa que el resto del mundo esté exento de dichos riesgos, y la muestra más reciente de ello la encontramos en la planta de tratamiento de aguas de Oldsmar, una pequeña ciudad que se encuentra a unos 25 kilómetros al noroeste de Tampa, Florida. Esta instalación sufrió un intento de intrusión el pasado viernes, en el que el atacante logró llegar a los sistemas de control de potabilización del agua para su consumo.
Para el tratamiento de aguas, más concretamente para su potabilización de cara al consumo humano, este tipo de plantas emplean el hidróxido de sodio como desinfectante, para eliminar la posible vida microbiana que pueda haber en la misma. El problema es que el hidróxido de sodio es tóxico, y por lo tanto se debe aplicar en cantidades muy, muy precisas, para que lleve a cabo su acción desinfectante, sin que tenga un efecto tóxico en los consumidores. ¿Has escuchado alguna vez lo de las dos gotas de lejía por litro de agua? Pues el principio es el mismo.
Por norma general, la planta de tratamiento de aguas de Oldsmar añade 100 partes de hidróxido de sodio por millón al agua, 9.999 gotas de agua por cada gota de hidróxido de sodio. Sin embargo, según ha informado el alguacil del condado de Pinellas, en el que se encuentra Oldsmar, el saboteador incrementó la proporción de hidróxido de sodio a 11.100 partes por millón, es decir, algo más de una gota de hidróxido (1,11) por cada 98,89 gotas de agua. Un nivel que, como habrás deducido rápidamente, está muy por encima de la cantidad que puede ser ingerida por el ser humano sin tener efectos en su salud.
La intoxicación por hidróxido de sodio, similar a la que producen otro productos cáusticos (lejía, cloro, sosa cáustica, etcétera) puede producir daños extensos en la boca, la garganta, los ojos, los pulmones, la nariz, el esófago y el estómago, siendo estos dos últimos los que pueden perdurar por semanas y, en casos graves, provocar la muerte hasta un mes después de su consumo. Evidentemente depende de la cantidad consumida, así como del tiempo de respuesta tras detectar la intoxicación y del estado de salud previo de la víctima. Sabotear una planta de tratamiento de aguas debería ser considerado como un intento de asesinato a toda la población que depende de la misma para el suministro de agua potable.
Hasta el momento no se han producido detenciones, y se desconoce (al menos públicamente) si el origen del ataque es interno (de Estados Unidos) o externo, así como las motivaciones tras el mismo. Obviamente se han iniciado investigaciones al respecto y, ante el tipo de amenaza, se ha alertado a los municipios de área para que revisen sus sistemas de tratamiento de aguas en busca de cualquier señal de un posible ataque como el sufrido por Oldsmar.
En una primera conexión, que fue detectada por un operador, el atacante simplemente comprobó si tenía acceso a los sistemas de control. El trabajador no le concedió mayor importancia, dado que la planta de tratamiento de aguas de Oldsmar emplea TeamViewer para que sus responsables puedan gestionarla de manera remota. Fue en una segunda conexión, horas más tarde, cuando el atacante multiplicó por 111 la cantidad de hidróxido de sodio empleada habitualmente. En ese momento el software de acceso remoto fue desactivado y se restituyó la cantidad normal.
Según han indicado las autoridades, este ataque no ha supuesto riesgo para la población, puesto que hay elementos de control que habrían detectado el problema, y el plazo desde que el agua es tratada hasta que esta llega al sistema de distribución es de entre 24 y 36 horas, por lo que el agua envenenada no llegó a la población. Esto, sin duda, resulta tranquilizador, pero este ataque debería hacernos reflexionar sobre si es necesario que sistemas críticos, como los de las plantas de tratamiento de aguas, estén conectados a Internet.
Del mismo modo que este atacante pudo controlar los sistemas, nada impide que también pudiera realizar modificaciones en los sistemas de control para evitar la detección del ataque. Tampoco sabemos si se empleaba la autenticación de doble factor para acceder de manera remota a los sistemas de tratamiento de aguas de Oldsmar, y si en la misma se empleaba alguna solución de seguridad. Lo que sí que resulta evidente es que en esta ocasión el ataque no ha tenido consecuencias dramáticas, pero podría no ser así en el futuro, por lo que es un buen momento para replantearse la seguridad en ese tipo de instalaciones.
La entrada Tratamiento de aguas, en el punto de mira del cibersabotaje es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
